特許
J-GLOBAL ID:201103002776029102
攻撃検出装置、攻撃検出方法、及びプログラム
発明者:
,
,
,
出願人/特許権者:
代理人 (2件):
古部 次郎
, 久保 洋之
公報種別:公開公報
出願番号(国際出願番号):特願2010-062952
公開番号(公開出願番号):特開2011-199507
出願日: 2010年03月18日
公開日(公表日): 2011年10月06日
要約:
【課題】DNSの形式をとりつつ通信で交換する情報を悪意ある行為のために用いるような攻撃を検出する。【解決手段】攻撃検出装置40において、DNSデータ抽出部41が、ネットワークトラフィックからDNSクエリ又はDNSレスポンスを抽出し、ドメインデータ抽出部42が、その中から特定のドメインに関するものを抽出し、ブラックリスト照合部44がブラックリストに含まれるドメインに関するものを除外して絞り込みを行い、ドメインデータ検査部46が、絞り込み後のDNSクエリ又はDNSレスポンスを一定時間内の出現個数や返されたIPアドレスの異同等に基づいて検査する。そして、検査の結果、DNSを悪用した攻撃が行われている虞があると判定されれば、ブラックリスト更新部48が、今回のドメインをブラックリストに追加し、アラート発信部49が、アラートを出力する。【選択図】図2
請求項(抜粋):
DNS(Domain Name System)を悪用した攻撃を検出する攻撃検出装置であって、
コンピュータからDNSサーバへ送信されたドメインの名前解決を要求する形式の複数の要求メッセージを取得する取得手段と、
前記取得手段により取得された前記複数の要求メッセージの中に、同じドメインに属する同じサブドメインの名前解決を要求する形式の所定数以上の要求メッセージからなる特定要求メッセージ群が含まれているかどうかを判定する判定手段と、
前記複数の要求メッセージの中に前記特定要求メッセージ群が含まれていると前記判定手段により判定された場合に、外部に警告情報を出力する出力手段と
を備えたことを特徴とする攻撃検出装置。
IPC (1件):
FI (2件):
H04L12/56 400Z
, H04L12/56 B
5K030GA15
, 5K030HA08
, 5K030HC01
, 5K030HC13
, 5K030HD09
, 5K030JA10
, 5K030JL07
, 5K030JT02
, 5K030KA07
, 5K030LC13
, 5K030MB18
, 5K030MC08
, 5K030MD08
